安卓Janus签名高危漏洞(CVE-2017-13156)
 


漏洞简介:

           2017年12月谷歌发布的安卓安全公告中提到的一个漏洞,该漏洞能让攻击者绕过应用程序签名验证并将恶意代码注入安卓应用程序。移动安全公司GuardSquare的研究团队发现,该漏洞存在于安卓操作系统读取应用程序签名的机制中。



CVE编号:  CVE-2017-13156



危害等级:  高危



影响版本:  5.x - 8.0 ( V1签名方式,V2签名不受影响 )



漏洞成因:



         漏洞来自V1签名的设计缺陷,安装APK文件时,系统对V1签名方式并非完整内容校验,而是校验部分位置的内容正确即可.漏洞利用.例如,在APK头位置注入一个恶意的dex文件,运行时ART虚拟机从头位置开始读,如果是dex文件,就会执行该文件,导致代码执行.(简单讲,安卓系统V1签名已经不可靠)

在Github平台公布的验证PoC: https://github.com/V-E-O/PoC/tree/master/CVE-2017-13156



解决方案:

  升级系统到对应版本最新版(如果可以,推荐使用安全的V2签名方式)

  临时方案: 由于升级系统成本较大,周期较长,给出安卓生态链临时参考方案。

  产品使用者 -- 普通用户请使用官方渠道下载.推荐使用, 原生商店: http://apk.secapk.cn/

  应用发布者 -- 修改各应用市场账号的密码,并检查渠道的APK指纹信息.推荐使用, APK指纹搜索: http://www.secapk.cn/

  渠道发布者 -- 检查自身应用市场平台安全性,下载后额外增加APK文件的HASH校验。



  作者: Shine      日期: 2017-12-11    转载请注明来自SecAPK.cn    





 
Copyright ©2017-2018, SecAPK.cn, All Rights Reserved
 
反馈邮箱: feedback@SecApk.cn    鄂ICP备17017458号-1